Skip to content

SSH 安全方案

定位:用短时证书登录取代长期公钥,让 SSH 访问基于身份、集中授权、全程可审计。

解决什么问题

传统 SSH 依赖散落在各服务器 authorized_keys 里的长期公钥:谁能登录哪台机器难以盘点,人员离职后残留的公钥更是长期隐患。以身份为中心的 SSH,把"登录权"变成一次性、可撤销、可审计的授权。

关键能力

  • 短时证书登录:登录时签发分钟 / 小时级有效的 SSH 证书,过期即失效,无需常驻密钥。
  • 去除长期公钥:服务器只信任 CA,不再逐台维护 authorized_keys
  • 集中授权:按用户 / 角色 / 主机组统一定义谁能登录什么,变更即时生效。
  • 全程审计:每次登录关联到具体身份与时段,便于合规与追溯。
  • 基于身份的访问:权限跟着身份走,人员变动只需改一处授权。

与 SPIFFE 的协同

方案可用 SSH CA 独立落地,也可与 SPIFFE / SVID 统一身份体系对接,实现零常驻密钥:人和服务共用同一套可验证身份与短时凭据模型,人到机器、机器到机器的访问都不再依赖长期密钥。

了解更多

试用与合作请联系我们

内容基于 SPIFFE/SPIRE 官方开源资料整理与翻译,仅供学习交流;商标与版权归各自所有者。SPIFFE 与 SPIRE 是 CNCF 项目。